Business Logic Errors

Manque de validation lors du changement d'email

Description

La vulnérabilité a été découverte sur l'application web d'un fournisseur de technologies liées au contrÎle d'identité par IA. Cette application permettait de créer des comptes utilisateurs à partir d'emails professionnels, une fois connecté, l'utilisateur avait accÚs à un dashboard avec plusieurs fonctionnalités permettant notamment la création de templates de validation d'identité etc.

Dans ce dashboard, l'utilisateur a la possibilitĂ© d'inviter des personnes en leur envoyant un lien par email et par le mĂȘme biais de changer les emails de ces utilisateurs dont celui du propriĂ©taire de l'application (donc soi-mĂȘme).

La fonctionnalité permettant cela souffrait alors d'un manque de vérification permettant de remplacer son email par n'importe quel email arbitraire sans aucune validation et aucune possibilité de réfuter ce changement depuis l'email reçu par la victime.

Exploitation

  • Dans un premier temps j'ai essayĂ© de crĂ©er un compte avec un email privĂ© via l'endpoint d'enregistrement.

  • Cependant la politique en place m'en empĂȘchait.

  • J'ai alors crĂ©Ă© un compte avec un email professionnel comme demandĂ© par la politique.

  • Je me suis rendu sur la page de gestion des utilisateurs du dashboard.

  • Puis j'ai simplement modifiĂ© mon email par un email arbitraire hors de mon contrĂŽle.

  • Une fois cela fait, il m'Ă©tait alors possible de me connecter avec ce nouvel email et mon mot de passe sans aucune validation de la part du serveur et l'ancien mail professionnel n'Ă©tait plus actif malgrĂ©s qu'i Ă©tait encore affichĂ© sur le dashbard.

Risques

Permettre aux utilisateurs de changer leur e-mail enregistrĂ© d’un e-mail professionnel Ă  un e-mail privĂ© aprĂšs l’inscription peut introduire des risques de sĂ©curitĂ© et de business. Voici quelques impacts potentiels :

Usurpation d’identitĂ© et ingĂ©nierie sociale :

Un utilisateur malveillant peut s’inscrire avec une adresse e-mail professionnelle, accĂ©der Ă  certains privilĂšges ou informations, puis modifier le courrier Ă©lectronique en un courrier privĂ©. Cela pourrait leur permettre d’usurper l’identitĂ© d’un utilisateur lĂ©gitime et de mener des activitĂ©s malveillantes.

Contournement des mesures de sécurité :

Si l’entreprise s’appuie sur la vĂ©rification des adresses e-mail professionnelles pour assurer un certain niveau de confiance ou de sĂ©curitĂ©, permettre aux utilisateurs de passer Ă  des e-mails privĂ©s pourrait compromettre ces mesures.

Intégrité des processus opérationnels :

Si la logique mĂ©tier suppose un certain niveau de confiance ou de validation associĂ© aux adresses e-mail professionnelles, permettre aux utilisateurs de passer Ă  des e-mails privĂ©s pourrait perturber les processus mĂ©tier prĂ©vus et compromettre l’intĂ©gritĂ© de ces processus.

Conformité réglementaire :

Selon l’industrie, il peut y avoir des rĂšglements ou des normes en place qui exigent certaines pratiques de sĂ©curitĂ©. Permettre aux utilisateurs de passer librement des courriels professionnels aux courriels privĂ©s peut enfreindre ces rĂšglements.

Fuite de données :

Si le courrier Ă©lectronique professionnel a Ă©tĂ© utilisĂ© pour des communications commerciales ou l’accĂšs Ă  des informations sensibles, le fait de le remplacer par un courrier Ă©lectronique privĂ© peut entraĂźner une fuite involontaire de donnĂ©es commerciales sensibles vers des comptes de messagerie personnels.

Activités frauduleuses :

Les utilisateurs peuvent s’inscrire avec des e-mails professionnels pour obtenir certains avantages ou accĂšs, puis passer Ă  des e-mails privĂ©s pour Ă©chapper au suivi ou Ă  la dĂ©tection. Cela pourrait ĂȘtre exploitĂ© pour des activitĂ©s frauduleuses.

Previous2FA/OTP bypass

Last updated